CityCat4

Роутер с оптикой? В аренде от прова? Ну тогда Вы ничего и не сможете - не ваше :) Попользоваться дали за бабки. Да и что тут перенастраивать-то?
Хотите контролировать все - звоните в саппорт с вопросом - как переключить в режим моста (если можно конечно). Если договариваетесь, ставите свой роутер за ентой железиной и там уже рулите в полную дурь. При подключении РТК/МТС обычно так делают (у меня так)

Каким образом можно указать для сети 10.1.1.1-100 gateway 10.0.0.1

никаким

Не являюсь специалистом в сетях, лишь экспериментирую и учусь,

Замечательно. Олиферов в зубы - и читать до посинения

кто-то со своим ПК подключается к магистральному маршрутизатору, назначая своей машине белый IP-адрес. Маршрутизатор же

...отбросит пакет с этого адреса, поскольку фильтрует трафик, отбрасывая все, что не является его адресами, поскольку адресу в заголовке пакета доверия нет.

Я так полагаю, хотите себе белый IP, но не хотите за него платить и рассматриваете варианты сбацать самому? Не проканает.

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.

Роутеры с симками есть, но питалово скорее всего придется колхозить. Впрочем, если это не реально на себе, а допустим на автомобиле - сколхозить переходник питания с автомобильной сети...

У коммутаторов нет WAN и LAN. Да, собственно и у роутеров их нет, у нормальных-то :) Эти сокращения - фантазия маркетологов, продающих соховский дишман.
OpenWRT - роутерная прошивка, что ей делать на коммутаторе?

И куда в моем случае будет упор? ("горлышко")

В оборудование провайдера. Потому что:
1. У Вас не "1 гигабит", а "до 1 гигабита" - а это громадная разница. Вряд ли провайдер даст Вам flat rate, а если и даст - то по ценам юрика :)
2. И даже эта скорость будет ровно до первого узла сети провайдера - то есть до подьездного свитча, в сааааамом лучшем случае - до точки выхода с сети провайдера, дальше никто вообще никакой скорости не гарантирует

Ну, судя по фотке ИБП серьезный, не соховский, энтерпрайз. Есть USB-выход, есть RS232. Втыкаете USB шнур, винда должна сама найти девайс, либо с комплектного диска (у такого девайса он должен быть) ставите софтину.
Для подключения по RS232 нужен специализированный кабель - но это придется уточнять, годится ли сюда кабель от APC (схемы его есть в тырнете, паяется при наличии прямых рук запросто).

TTK - это гигантский магистральщик. Работать юрику скажем с ТТК - сказка, забываешь телефон саппорта. Видикон скорее всего нижестоящий провайдер. За ТТК такие глупости как прозрачное проксирование не замечал, но все возможно.
Проверьте настройки первого роутера - в особенности DNS - не осталось ли артефактов.

Видикон и будет посылать в магазин - потому что говорить "я не знаю, как решить вашу проблему" запрещено :)
Можно еще позвонить в саппорт ТТК :)

Договориться с РТК о переводе элтекса в режим моста и всю работу перенести на ксиаоми - пусть он будет и роутером и dhcp и точкой доступа.

Премию Дарвина - в студию!

Все конфиги всех сетевых устройств должны сниматься с некоторой периодичностью. Восстановить несколько правил в прошлогоднем конфиге проще, чем писать его полностью с нуля. Тем более, если конфиг писался не тобой.
Как уже верно заметили - смотрите, что на флэшке. Там мог сохраниться предыдущий конфиг, пусть даже старый. Грамотный установщик не только снимет бэкап и в ручки отдаст, но и сохранит на флэшке в качестве last resort.
Если же его там нет...ну...я не знаю, бывают ли средства восстановления удаленных файлов для таких вещей...

Если провайдер единственный - можно попросить перевести их роутер в режим оптического моста, который просто интерфейс конвертит оптику в eth, а за ним ставить свой роутер, который будет заниматься всем, в том числе и аутентификацией в сети прова.
Как правило, свое оборудование (даже имеющее sfp-порт, даже при наличии недешевого sfp модуля) пров не подключает - зоопарк оборудования ему нахрен не нужен - либо хаваешь, что дают, либо идешь нафиг к другому прову (которого может не быть).

Может конечно, но нахрена ему? Новый роутер может быть и неисправным и криво настроенным. Попробуйте DNS от гугла - часто торможение вызвано медленным резолвом.

Знать - ничего нового.
Смотреть - в договор.

Если оптороутер - в аренде, можно выдохнуть и расслабиться, потому что тут Вы ничего (от слова совсем) не сделаете - разве только к другому прову уйдете, но это не всегда возможно (если в доме РТК - то скорее всего нет). Почему? Провайдер подключает абонентов только на свое оборудование. Все.

Все, что Вы можете - перевести оптороутер в режим оптобриджа, в котором он является фактически конвертером интерфейса оптики в eth (ну и отдает мониторинг соединения провайдеру). Все остальное, в том числе и аутентификацию у провайдера - должен делать Ваш роутер.

У меня именно так и работает - сначала коробас от РТК, от которого хвост в микротик, на микротике настроен PPPoE.

А вы, конечно же первый раз заходите в данные учетки или всегда ходили в них через VPN :) Не? Правда, заходили когда-то без VPN и с тех пор ничего, кроме IP не поменялось? Ну, я Вас поздравляю - Вы посчитаны.

IP поменялся, а вот слепок браузера - нет :) Все то же самое, куки-шмуки. Какой вывод - "нас предположительно дуют" :)

Только новый профиль на новой виртуалке, работающей через VPN без утечек DNS

Никак.

Есть различные костыли, типа пробросов портов или EoIP (если на обеих сторонах микротики) и в теории 192.168.0.1 из одной сети сможет связаться с 192.168.0.2 из другой, но в таком случае в обеих сетях запрещен DHCP (который ничего не знает о допустимом диапазоне выделения IP).

Ну, а уж коннекта между 192.168.0.1 из одной сети и 192.168.0.1 из другой сети не будет никогда и ни за что :)

Домашние роутеры покупают люди, для которых слово "модель" означает "девушка модельной внешности" :) Им никакие данные не нужны...

В сторону каких компаний можно посмотреть, на что обратить внимание, чтобы заниматься действительно сетевыми вопросами

Провайдеры. Специфика их работы - как раз сетевые вопросы :) Там конечно есть офисный админ, который девочкам из бухгалтерии принтеры настраивает, но он там скорее всего один. Идете в саппорт, в саппорте прорастаете в сетевики - если ума достаточно, прорастете быстро.